本發(fā)明涉及大數(shù)據(jù)處理和數(shù)據(jù)安全的技術(shù)領(lǐng)域�����,尤其涉及一種海量帳號信息的安全防護方法���,以及海量帳號信息的安全防護系統(tǒng)���。
背景技術(shù):
在大數(shù)據(jù)公司,用戶的帳號(手機號��,IMEI號以及郵箱等)信息是核心機密���,一旦帳號信息發(fā)生泄漏�,后果非常嚴重���,甚至會給企業(yè)帶來生存危機�����,所以海量帳號信息的安全防護問題亟待解決����。
現(xiàn)有的技術(shù)方案一般是把海量帳號信息存儲到hdaoop上�����,對帳號使用對稱加密技術(shù)做加密處理��,帳號密文在公司內(nèi)部流轉(zhuǎn)和使用���,需要使用明文時再做一步解密處理��,整個流程由研發(fā)人員操作和控制���。
目前的技術(shù)方案弊端非常明顯,首先數(shù)據(jù)是加解密是可逆的��,數(shù)據(jù)安全基本上是依賴于加密密碼的管理,很單薄��,容易被攻破��;其次密文數(shù)據(jù)全量可見���,很容易發(fā)生數(shù)據(jù)全量泄漏的風險�;最后對于帳號數(shù)據(jù)可以無限次地使用�,而并沒有相關(guān)的安全審計手段,不能追蹤到數(shù)據(jù)使用人����,非法使用數(shù)據(jù)的行為不能被追蹤。
技術(shù)實現(xiàn)要素:
為克服現(xiàn)有技術(shù)的缺陷�����,本發(fā)明要解決的技術(shù)問題是提供了一種海量帳號信息的安全防護方法���,其徹底規(guī)避了數(shù)據(jù)被解密的風險����,非常容易地規(guī)避數(shù)據(jù)被全面解密的風險���,而且可以追蹤并審計非法使用帳號數(shù)據(jù)的行為���。
本發(fā)明的技術(shù)方案是:這種海量帳號信息的安全防護方法,該方法包括以下步驟:
(1)使用不可逆加密技術(shù)對帳號信息進行加密���,并存儲在hadoop上�,在公司內(nèi)部計算和流轉(zhuǎn)���;
(2)使用對稱加密方法把帳號存儲在hbase上�,并與加密的帳號信息建立一一對應的映射關(guān)系����;
(3)通過建立基于KV結(jié)構(gòu)的API服務或者MR服務,并建立帳號信息查詢權(quán)限���,同時把使用查詢服務的訪問記錄全部記錄下來以備審計�。
本發(fā)明通過建立一套帶有權(quán)限管理的查詢系統(tǒng)��,非常有針對性地解決了面向海量帳號信息的安全防護問題����;使用不可逆加密的方法來加密帳號信息����,這樣對外暴露的就是不可解密的密文數(shù)據(jù)���,徹底規(guī)避了數(shù)據(jù)被解密的風險�;另外真實帳號信息對外不可見���,只能通過系統(tǒng)訪問的方式來獲取明文數(shù)據(jù)��,加以權(quán)限控制之后就非常容易地規(guī)避數(shù)據(jù)被全面解密的風險�����,而且可以追蹤并審計非法使用帳號數(shù)據(jù)的行為�。
還提供了一種海量帳號信息的安全防護系統(tǒng)����,該系統(tǒng)包括:
數(shù)據(jù)加密模塊,其配置來使用不可逆加密技術(shù)對帳號信息進行加密���,并存儲在hadoop上�����,在公司內(nèi)部計算和流轉(zhuǎn)���;
存儲映射模塊�����,其配置來使用對稱加密方法把帳號存儲在hbase上���,并與加密的帳號信息建立一一對應的映射關(guān)系����;
查詢服務模塊,其配置來通過建立基于KV結(jié)構(gòu)的API服務或者MR服務��,并建立帳號信息查詢權(quán)限��,同時把使用查詢服務的訪問記錄全部記錄下來以備審計�����。
附圖說明
圖1所示為根據(jù)本發(fā)明的海量帳號信息的安全防護方法的流程圖�����。
具體實施方式
如圖1所示,這種海量帳號信息的安全防護方法��,該方法包括以下步驟:
(1)使用不可逆加密技術(shù)對帳號信息進行加密��,并存儲在hadoop上�,在公司內(nèi)部計算和流轉(zhuǎn);
(2)使用對稱加密方法把帳號存儲在hbase上��,并與加密的帳號信息建立一一對應的映射關(guān)系�;
(3)通過建立基于KV結(jié)構(gòu)的API服務或者MR服務,并建立帳號信息查詢權(quán)限����,同時把使用查詢服務的訪問記錄全部記錄下來以備審計。
本發(fā)明通過建立一套帶有權(quán)限管理的查詢系統(tǒng)�,非常有針對性地解決了面向海量帳號信息的安全防護問題;使用不可逆加密的方法來加密帳號信息�,這樣對外暴露的就是不可解密的密文數(shù)據(jù),徹底規(guī)避了數(shù)據(jù)被解密的風險����;另外真實帳號信息對外不可見,只能通過系統(tǒng)訪問的方式來獲取明文數(shù)據(jù)�,加以權(quán)限控制之后就非常容易地規(guī)避數(shù)據(jù)被全面解密的風險�����,而且可以追蹤并審計非法使用帳號數(shù)據(jù)的行為���。
另外,所述步驟(3)中�����,對一次性抽取的數(shù)據(jù)問題做一定限制��。
另外���,一般情況下,該方法通過API的方式對外提供帳號信息查詢服務�,使用者把使用不可逆加密技術(shù)的帳號信息發(fā)送到服務器,由服務器返回一個明文帳號信息���。
另外���,為了應對海量數(shù)據(jù)查詢,支持向集群提交MR的運算方式來做帳號匹配�。該方法通過提交解密文件路徑之后,由服務自動啟動MR來實現(xiàn)帳號反解,以提升數(shù)據(jù)匹配的效率�����。
本領(lǐng)域普通技術(shù)人員可以理解���,實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成��,所述的程序可以存儲于一計算機可讀取存儲介質(zhì)中����,該程序在執(zhí)行時�����,包括上述實施例方法的各步驟��,而所述的存儲介質(zhì)可以是:ROM/RAM�、磁碟、光盤��、存儲卡等�。因此,與本發(fā)明的方法相對應的�����,本發(fā)明還同時包括一種海量帳號信息的安全防護系統(tǒng),該系統(tǒng)通常以與方法各步驟相對應的功能模塊的形式表示����。使用該方法的系統(tǒng)包括:
數(shù)據(jù)加密模塊,其配置來使用不可逆加密技術(shù)對帳號信息進行加密��,并存儲在hadoop上�����,在公司內(nèi)部計算和流轉(zhuǎn)��;
存儲映射模塊����,其配置來使用對稱加密方法把帳號存儲在hbase上��,并與加密的帳號信息建立一一對應的映射關(guān)系�;
查詢服務模塊,其配置來通過建立基于KV結(jié)構(gòu)的API服務或者MR服務��,并建立帳號信息查詢權(quán)限����,同時把使用查詢服務的訪問記錄全部記錄下來以備審計�����。
另外��,所述查詢服務模塊中��,對一次性抽取的數(shù)據(jù)問題做一定限制��。
另外�����,該系統(tǒng)通過API的方式對外提供帳號信息查詢服務�,使用者把使用不可逆加密技術(shù)的帳號信息發(fā)送到服務器���,由服務器返回一個明文帳號信息�。
另外�����,該系統(tǒng)通過提交解密文件路徑之后�����,由服務自動啟動MR來實現(xiàn)帳號反解。
本發(fā)明的有益效果如下:
1.規(guī)避全量數(shù)據(jù)泄漏的風險�����;
2.通過系統(tǒng)建設(shè)使得帳號數(shù)據(jù)在權(quán)限控制之下被使用�;
3.帳號數(shù)據(jù)的使用情況能夠事后審計。
以上所述�����,僅是本發(fā)明的較佳實施例�����,并非對本發(fā)明作任何形式上的限制���,凡是依據(jù)本發(fā)明的技術(shù)實質(zhì)對以上實施例所作的任何簡單修改����、等同變化與修飾��,均仍屬本發(fā)明技術(shù)方案的保護范圍�。